无痛持续审计的持续合规性

审计是有压力的。如果您的组织遵守法规遵从性规则,很可能你已经亲身体验到了它们是多么的耗时和痛苦。准备和满足审计通常是一个长达数月的过程,审计人员之间的电子邮件和文件往来,合规官,信息安全专业人员,以及负责您的基础设施和应用程序的团队。即使成功通过审计,许多组织都在努力确保系统保持合规性。因此,问题是双重的:如何使审计准备和执行更加简单,您的组织如何确保审计之间的合规性?

为了解决这两个问题,您的组织必须有一种方法,在开发生命周期的每个阶段,一直到生产阶段,持续自动地评估环境的遵从性。必威官网betway我们称这种能力为持续遵从性。你如何最好地实现这一能力?

保持合规性

为了理解持续自动化的重要性,Verizon的支付安全报告提供有价值的上下文。该报告侧重于以前通过PCI-DSS审计的组织,并跟踪他们在准备下一次审计时对中期评估的表现。虽然趋势逐年改善,最新报告显示,2016年,只有55%的被调查组织在其评估中被证明是合规的,之前通过审计后。

来源:Verizon 2017年支付安全报告
来源:Verizon 2017年支付安全报告

另外,那些未通过评估的企业也出现了控制差距,或者失败控制的百分比,在同一时期一直在增长。不断扩大的控制差距可能对组织产生明显的影响,世卫组织将需要预算更多的时间和资源,以纠正那些未能实施的控制措施,使其恢复遵守。

这是个警告,如果不是令人惊讶的趋势。云计算和容器技术大大降低了快速创建和增长环境的障碍,而客户反过来也期望更快、更快的迭代。每次配置更改和应用程序更新都会带来影响法规遵从性状态的风险。传统的智慧告诉我们,组织中的变化率越大,审计无效的风险越大。这让许多组织不得不做出一个不可行的决定:他们是否放慢了发展速度,面临着被竞争对手超越的风险?或者他们会因此增加速度和风险合规性下滑?

持续自动化以实现持续合规性

连续自动化提供了第三种选择。与其牺牲您的创新率或严格的合规性,您可以通过从早期开发一直到生产的持续评估合规性来解决这两个问题,必威官网betway确保您所做的每一个更改都能提供对其合规性影响的实时反馈。必威官网厨师最近进行了一项调查当被调查者被问到如何确定他们目前的合规状况时。大约一半需要对目标系统进行特别评估,手动或通过扫描实用程序。近三分之一的人依赖于先前运行的审计报告。在任何一种情况下,合规性下滑几乎是可以保证的。即席评估只提供系统子集的快照,如果不在您的环境中连续运行,则不要提供完整的图片。同样地,历史审计数据只能在报告生成后环境保持静态的情况下完全可信。很少有组织认为这是理所当然的。

相比之下,大约20%的受访者报告说,他们能够通过跨环境的按需报告自动进行合规性评估。不足为奇的是,大约相同比例的受访者表示他们能够每天或更好地评估合规性。通过自动化合规性评估,您可以在应用更改时经常评估环境,确保您不会忽视任何有效的更新。左移顺应性,或者在开发生命周期的早期应用控制,确保及早发现有影响的问题,在进入生产之前,他们可以先解决的问题。必威官网betway

结论

通过审计只是确保持续保持合规性的开始。自动化合规性评估使您能够连续扫描环境,并验证系统在一段时间内保持合规性,而且,影响变更的审计可以在变更发生后立即识别和纠正。持续的自动化还确保您可以为将来的审计做好准备,并确信您的系统将通过监管集合。

下一步

作者Nick Rycar

尼克是西雅图厨师总部的技术产品营销经理。必威官网betway必威官网当他不忙着准备产品演示时,必威官网betway他用可怕的双关语和不必要的深奥的流行文化琐事折磨他的同事。大多数情况下,他只是太平洋西北部另一个困惑的纽约移植者。